就技术而言,防火墙的历史和山丘一样悠久。在防火墙出现的 40 多年里,”下一代 “防火墙比音乐流派防火墙还要多。防火墙的核心是允许或拒绝数据包进入或离开网络,尽管这很有用,但几乎没有其他功能。每一代产品都会在决定什么 “可以通过大门 “的策略组合中添加一些新的内容,但信息更灵通的保镖仍然只是保镖。用户识别、入侵检测、时间、鞋类、带宽使用、发型或 TCP 会话状态仍然不能决定某些东西是否安全或值得信任。
进入我们的 “修理工”–Web 应用程序防火墙(或 WAF),他知道(或至少能够了解)更多关于我们的客户以及他们可能在做什么。先不说谁能被允许进入,WAF 规定了哪些行为是可以接受的,哪些行为是不允许的。有了 WAF,允许或拒绝的是应用程序功能和输入输出,而不是访问。
与允许或拒绝的二元选择相比,这显然是一种更复杂、更深入的方法。它允许细粒度控制,并以更有意义、更自然的方式实施安全策略。如果一个网站只提供可供阅读或下载的信息,那么 WAF 就可以确保没有文件上传到提供信息的服务器上。您的服务器可能会使用 SQL 后端,但这并不是客户在请求中包含 SQL 查询的理由。一言以蔽之,WAF 可以保护您免受恶意用户的攻击–您的 “网络 “防火墙已经允许恶意用户通过,因为它无法区分恶意用户和良性用户。
随 ALB-X 高级负载平衡器一起发布的 WAF 模块是我们首次以 Docker 容器的形式发布。这是一个令人兴奋的新方向,也符合我们的理念,即尽可能简单。您无需了解 Docker 或容器的复杂性就能使用它。因为它是一个容器,所以 WAF 可以独立于 ALB-X 软件进行安装和升级,无需重新启动。您还可以运行多个 WAF 容器,对不同的服务应用不同的策略,提高隔离度。总之,这种方法具有很大的灵活性。
在这方面,有多种实施方案可供选择,这取决于你想保护未加密还是加密(HTTPS)流量(必须解密才能进行检查)。对于 HTTPS,你可以选择在将流量发送到真正的服务器之前对其重新加密。
WAF 模块确实可以防止编码不良的基于 Web 的应用程序及其漏洞,但实际上,它不应该被视为针对存在漏洞的不良代码的一站式解决方案;要治本,而不是治标。别忘了,联合、深入的方法才是最好的防御。正确制定的 cookies、flightPATH 流量管理规则、适当的 HTTP 标头和限制以及其他工具的组合,远远优于看似坚不可摧的单一墙体。确保一切安全,真正的安全才有可能随之而来。
考虑数据包和流量(IP 地址和端口)、协议、应用程序、服务和交易。如果过于依赖对单一要素的保护,很可能会陷入困境。本着同样谨慎的态度,请牢记以下几点;
- 尽管 WAF 可以感知应用程序,但它只能做到这一点,因为它并不知道您的应用程序是如何工作的,也不知道您的理想应用程序应该如何工作。
- WAF 使用通用的 “规则库”,该规则库基于一系列假设,可能不适合您的应用程序(例如不允许上传文件)–在推广到生产前,请使用默认检测模式进行适当测试
- 最新的创新技术,如 AJAX、HTML5 和其他技术,可能未得到考虑或保护
与大多数 ALB-X 功能的常规做法一样,在 ALB-X 上实现这些功能的巨大优势在于,我们只需在一个中心位置进行操作,即可保护我们的所有服务器。我们不需要依赖开发人员或网络服务器的重新配置。更新 WAF 的规则集(不可接受的行为列表)也只需点击几下,而且无论运行多少个规则集,都只需更新一次。
有关 WAF 的更多信息,请点击此处–我们建议您查看另一项令人兴奋的新进展。这里有深入的安装指南。
立即在线试驾
网络应用程序防火墙允许对安全策略进行细粒度控制和实施,包括管理应用程序功能中允许或拒绝的内容以及输入和输出。
